One Identity Enterprise Single Sign-on
Inicio de sesión único simplificado
Enterprise Single Sign-on le permite a su empresa optimizar la administración de los usuarios finales y la administración de toda la empresa del inicio de sesión único (SSO). Basa los inicios de sesión de las aplicaciones y de los usuarios del sistema en sus identidades de Active Directory existentes, de modo que no existe ninguna infraestructura para administrar.
Para obtener información sobre el inicio de sesión único en aplicaciones en la nube, basadas en la web o federadas, visite nuestra página Cloud Access Manager.
Características
Inicio de sesión único basado en Active Directory
Le permite utilizar las identidades actuales, los grupos y las políticas incorporadas en la implementación de Active Directory existente a fin de basar el control de acceso y el inicio de sesión único para toda la empresa, sin necesidad de métodos de autenticación adicionales ni de un metadirectorio.
Cumplimiento de políticas de acceso y de seguridad
Le permite aplicar controles similares al inicio de sesión único basado en el cliente para toda la amplia gama de aplicaciones y sistemas de la empresa, a los que los usuarios pueden necesitar acceder utilizando las políticas de acceso y las reglas de Active Directory establecidas.
Punto único de autenticación sólida
Permite un punto único de inicio de sesión o autenticación del usuario en cualquiera de los sistemas y de las aplicaciones de su empresa, incluidos los inicios de sesión estándares con nombre de usuario y contraseña, y la gama completa de opciones de autenticación sólida, como biometría, tarjetas inteligentes o autenticación de dos factores basada en tokens.
Eficiencia del área de TI y de los usuarios finales
Aumenta su productividad y elimina la necesidad de que su personal del área de TI administre el acceso de los usuarios y el restablecimiento de las contraseñas a través de una amplia gama de aplicaciones, debido a que no es necesario recordar las contraseñas para múltiples sistemas y aplicaciones.
Soporte del cumplimiento
Logre los requisitos de cumplimiento comunes para el control de acceso, la autenticación sólida y la delegación segura de los derechos de acceso mediante la implementación de una infraestructura basada en Active Directory sólida y coherente para el cumplimiento de políticas de acceso.
Le permite generar informes de auditoría a partir de los datos de LDAP o del inicio de sesión, y también le ofrece la opción de producir informes en los que se muestran las estadísticas.
Configuración Drag-and-Drop
Le permite adaptar fácilmente las aplicaciones a su entorno exclusivo sin necesidad de realizar modificaciones ni de conectores personalizados.
Cambio rápido de usuario opcional
Le permite compartir una workstation física mediante el uso de autenticación individual y cambio de contexto en tiempo real.
Restablecimiento de contraseñas opcional
Le permite administrar sus propios restablecimientos de contraseñas de red al responder preguntas secretas, ya sea a través de una interfaz web o a través de una interfaz de inicio de sesión de Windows.
Especificaciones
Antes de instalar ESSO, asegúrese de que su sistema cumpla con los siguientes requisitos mínimos de hardware y software:
Los agentes de ESSO se pueden instalar en las plataformas del sistema operativo detalladas en las siguientes tablas. Eso atañe a los siguientes agentes:
- Enterprise SSO
- Authentication Manager
- Consola de acceso del usuario
Sistema operativo
Service Packs de 32 bits
Service Packs de 64 bits
Windows 7
Original y SP1
Original y SP1
Windows 8 Pro/Windows 8 Enterprise
Original y 8.1
Original y 8.1
Windows Server 2012
Original y R2
Original y R2
Windows Server 2008
Original SP2
R2 Original y R2 SP1, SP2
Windows Server 2003
Original, SP1, SP2, R1 y R2
R2 SP2
Las controladoras de ESSO se pueden instalar en las plataformas del sistema operativo detalladas en las siguientes tablas.
Sistema operativo
Service Packs de 32 bits
Service Packs de 64 bits
Navegador web soportado
Windows Server 2003
Original, SP1, R1 y R2
R2 SP2
Internet Explorer 6.0, 7.0 u 8.0
Windows Server 2008
Original y R2
R2
Internet Explorer 7.0, 8.0 o 9.0
Windows Server 2012
Original y R2
Original y R2
* El soporte para Windows Server 2003 terminará a fines de junio de 2016.
Se soporta Citrix XenApp (Citrix Presentation Server) 4.5, 5.0, 6.0, 6.5, 7.5 y 7.6.
- Enterprise SSO, inicio de sesión avanzado
Los agentes de ESSO no requieren una cantidad considerable de recursos en las computadoras modernas. La configuración mínima recomendada en una workstation de Windows es la siguiente:
Procesador
Memoria
Procesador Intel de 1 GHz
RAM de 512 MB
Consola y controladora de ESSO
La consola y la controladora de ESSO se deben ejecutar en una configuración reciente para acceder a la base de autoría con un rendimiento satisfactorio. La configuración mínima recomendada es la siguiente:
Procesador
Memoria
Procesador Intel Core 2 Duo
2 GB de RAM
El tamaño de la unidad de disco duro que aloja la base de auditoría depende de cuánto tiempo desea mantener el registro en línea antes de archivarlo. (La base de auditoría no necesita residir en el mismo servidor de Enterprise SSO). Para realizar una estimación aproximada use la siguiente información:
Una entrada de registro = 1000 bytes (incluidos el índice de la base de datos y otra sobrecarga)
Actividad de registro típica = 20 entradas de registro por usuario por día
Versiones de bases de datos y directorios LDAP
Quest Enterprise SSO puede acceder a la información del usuario ubicada en directorios LDAP y utilizar estos directorios para almacenar datos de SSO y de seguridad. Los directorios que soporta Quest Enterprise SSO son:
- Active Directory
- Windows Server 2003 SP1 y SP2
- Windows Server 2003 R2 SP1 y SP2
- Windows Server 2008 SP1, SP2 y R2
- Windows Server 2012 y R2
- AD LDS
- Windows Server 2008 SP1, SP2 y R2
- Windows Server 2012 y R2
- Sun Java System Directory Server
- Sun Java System Directory Server 5.2
- Fedora Directory Server
- Fedora Directory Server 1.0.1 en Red Hat Linux
- Fedora Directory Server 1.2 en Red Hat Linux
- OpenLDAP
- OpenLDAP Directory 2.4.X
La configuración de Quest ESSO Services con un repositorio OpenLDAP requiere habilidades avanzadas; el servicio de integración es obligatorio.
- Novell eDirectory
- Versión 8.7.3 (mínima)
- IBM Tivoli Directory Server
- Versión 5.2 con paquete de correcciones 003, versión 6.0
- Samba debe ser versión 3.0.x.
- Samba debe utilizar OpenLDAP (vea la versión anterior).
Enterprise SSO se puede instalar en un entorno donde se utiliza Samba como servidor de autenticación y controladora de dominio. Los requisitos previos son:
- Oracle desde 8.1.7.4
- Microsoft SQL Server 2005 y posterior
- MySQL Server 5.0
- IBM DB2 versión 9.0
La controladora de Quest ESSO puede almacenar una base de auditoría "maestra" en una base de datos relacional. Enterprise SSO se ha validado con las siguientes versiones de las bases de datos que se ejecutan en Windows 2003/2008 Server Enterprise Edition:
La base de la memoria caché de auditoría también puede ser de uno de los tipos de bases de datos que se indican aquí.
Si desea utilizar otro tipo de base de datos relacional, comuníquese con Quest para la viabilidad y una evaluación de los costos.
- El inicio de sesión avanzado puede utilizar los dispositivos para la autenticación de usuarios.
- La consola de Quest ESSO puede administrar estos dispositivos y utilizarlos para la autenticación de administradores.
Los siguientes dispositivos de autenticación y software intermedio son compatibles con estos módulos específicos de Enterprise SSO:
Proveedor
Software intermedio
Tokens
Gemalto
Sin software intermedio
Cryptoflex e-gate 32K, Cryptoflex .NET V2+
Gemalto
ACS 5.6.4
Cyberflex 32K o 64K con lectores de PC/SC
Gemalto
Classic Client 6
Cyberflex 32K o 64K con lectores de PC/SC
ActivIdentity
ActivClient 5.3.1
Tarjetas inteligentes Cyberflex y Oberthur
Oberthur
AWP (Authentic Web Pack) 3.6.2.2
Cosmo 64 v5
Tenga en cuenta que al usar tarjetas inteligentes debe utilizar lectores de tarjetas inteligentes PC/SC que sean compatibles tanto con las tarjetas como con el software intermedio detallado anteriormente.
La única entidad de certificación que se soporta actualmente es la Entidad de certificación de Microsoft Windows 2000/2003/2008 en una configuración de Active Directory. Pueden utilizarse otras entidades de certificación a través de la función de importación PKCS de la consola de Quest ESSO.
Advertencia:
Los dispositivos Xyloc no se soportan con Microsoft RDP.
El inicio de sesión avanzado se ha probado con los siguientes componentes de MIFARE:
- SAGEMYpsid S1-IAS
- Sagem Ypsid MatchOnCard
- Classic TPC
- Oberthur
- Cyberflex 64k
- Crypto.NET v2+
- CPS3
El soporte de XyLoc requiere que usted obtenga de Ensure Technologies el Kit de desarrollo de software para implementar el ETSecure.dll en cada workstation.
Estas pruebas se han realizado con el siguiente lector: CardMan 5321; estos dispositivos RFID se soportan de manera nativa (no se necesita software intermedio).
El inicio de sesión avanzado se encuentra configurado previamente con las siguientes ATR (respuesta para restablecer):
ATR
BAGDE
3b8f80010031b86404b0ecc1739401808290000e
CPS3
3b8f8001804f0ca000000306030001000000006a
Mifare Standard 4K
3b8f8001804f0ca0000003060300020000000069
Mifare Standard 1K
3b8f8001804f0ca0000003060a001c000000007e
HID iCLASS
Comienza con 3b05
HID Prox con formato de 125 kHz H10320
Comienza con 3b06
HID Prox con formato de 125 kHz H10301
Comienza con 3b07
HID Prox con formato de 125 kHz H10302, H10304 y Corp 1K
- Requisitos de complemento de Enterprise SSO
Los complementos son extensiones de Enterprise SSO. Ofrecen métodos de autenticación de SSO para tipos específicos de aplicaciones.
Estos complementos se entregan con Enterprise SSO. Los complementos se encuentran disponibles para:
- Microsoft Internet Explorer (para Internet Explorer 5.5, 6.0, 7.0, 8.0 y 9.0)
- Firefox 1.5, 2.0, 3.04 y superior (advertencia: debido a un problema, no se soporta Firefox 3.0.0 a 3.0.3) y 4.0
- Sun Java SE Runtime Environment (JRE) 1.4, 1.5 y 1.6
- Lotus Notes, versiones 4.x, 5.x y 6.5
- Microsoft Telnet
- HLLAPI (consulte 4.7, "Configuración del complemento de HLLAPI" para los emuladores que se soportan).
- Entorno de scripts para aplicaciones HTML y Windows que no están cubiertas por el proceso estándar de Enterprise SSO.
En la siguiente tabla se muestran las versiones de componentes SAP R/3 que se soportan:
Tipo de ventana de Enterprise SSO
Versión de cliente de SAP R/3n
Versión de servidor de SAP R/3 (nivel de parche de kernel mínimo)
Scripts SAPGUI
6.10 (360)
SAP GUI 6.20
4.6D (948)
4.5B (753)
SAP GUI 6.40
4.0B (903)
SAP GUI 7.10
3.1I (650)
SAP GUI 7.20
SAP GUI 7.30
Advertencia:
El Centro de inicio basado en web de SAP es compatible con Enterprise SSO, pero se necesita actualizar a SAPGUI versión 6.40 con nivel de parche 23.
Nota:
Los tipos de ventana SAPLogin y SAPExpired definidos en la versión 3.71 de SSOWatch permanecen disponibles para asegurar la continuidad de las configuraciones implementadas.
Configuración del complemento de HLLAPI
El complemento de HLLAPI se comunica con un emulador de terminal a través de un DLL. Cada emulador proporciona un DLL diferente para ese propósito.
Para instruir a Enterprise SSO sobre cómo comunicarse con su emulador de terminal, debe editar el registro de Microsoft Windows e ingresar tres valores ubicados debajo de HKEY_LOCAL_MACHINE\SOFTWARE\Enatel\SSOWatch\HLLAPI.
- Requisitos de complemento de Enterprise SSO
- HllLibrary: El nombre del DLL del emulador (nombre del archivo o ruta completa) que brinda acceso a la función de HLLAPI.
- HllEntryPoint: El nombre de la función relevante en el archivo DLL.
- HLLAPI de 32 bits: Indica si HLLAPI está en modo de 32 bits (value=1) o no (value=0).
HllLibrary
HllEntryPoint
HLLAPI de 32 bits
Attachmate EXTRA!® Entreprise 2000
ehlapi32.dll
hllapi
1
Los valores utilizados por el complemento si las entradas del registro no existen.
PCSHLL32.dll
hllapi
0
Advertencia:
La entrada del registro y los valores asociados no se crean durante la instalación. Debe crear manualmente la entrada del registro:
"HKEY_LOCAL_MACHINE\SOFTWARE\Enatel\SSOWatch\HLLAPI" y los tres valores "HllLibrary", "HllEntryPoint" y "HLLAPI-32bit"
Recursos
Smartcard authentication solutions for federal agencies
One Identity has a solution that can help federal agencies meet application authentication challenges in the PIV/CAC environment: One Identity Enterprise Single Sign-on (ESSO). Also discusses One Identity Cloud Access Manager.
Global Survey Full Results
Most IT security professionals are aware that their identity and access management (IAM) practices are substandard and know what to do to fix them -- but do not have the time nor resources to do anything about it.
You can get IAM right: Access Management
This e-book will address the foundational concepts of access and efficiency, or the administration component of IAM.
The Breach Prevention Playbook
This eBook focuses on the IAM practices and technologies that provide the best path to cyber-security.
Global Survey Deprovisioning
global deprovisioning survey results
GDPR Checklist - Are You Ready?
GDPR is fast-approaching. Are you ready? use this checklist to find out.
Survey Reveals Federal Agencies Still Struggle to Effectively Implement Identity Management Even in the Face of Legislative Pressure
Read key findings from One Identity’s survey of federal IT professionals.The study reveals that the security stance at most agencies has improved but they have not fully realized the objectives of regulatory and legislative guidelines.
SSA-Enforcing PIV card usage and increasing security with ESSO
The Social Security Administration (SSA) implemented logical smart card authentication. The SSA needed a solution that enforced the use of a PIV card by employees and contractors, while making the logon process easier. ESSO provided just that.
- Más recursos
- Comunidades
- Documentos de investigación
- Videos
Dé el próximo paso.
Productos relacionados
Cloud Access Manager
Cloud Access Manager (CAM) es una solución de administración de acceso web que ofrece acceso seguro y unificado a todas sus aplicaciones internas y web basadas en la nube y que, de manera simultánea,
Authentication Services
Mediante esta herramienta de autenticación de usuario de Active Directory puede lograr el cumplimiento con control de acceso entre plataformas.
Soporte y servicios
Soporte de productos
Las herramientas de autoservicio lo ayudarán a instalar, configurar y solucionar los problemas de su producto.
Ofertas de soporte
Encuentre el nivel adecuado de soporte que se adapte a las necesidades únicas de su empresa.